Como removo um kit raiz do Windows XP? [duplicado]

Navegue suas respostas
1

Eu estava procurando por kits de raiz seguindo estas instruções link e vi isso no meu log de inicialização: 

Loaded driver \SystemRoot\System32\Drivers\awhk9fmc.SYS

Tentei pesquisar esse nome de arquivo no Google, mas não encontrei absolutamente nada. Eu tentei olhar para o arquivo no disco, mas não consegui encontrá-lo. Quase todos os outros arquivos estão lá. Eu até tentei inicializar no Windows 98 e montar o NTFS e ver o arquivo, mas ele ainda não estava lá. Fiz uma varredura completa com o Microsoft Security Essentials, mas não encontrei nada. Quando reiniciei, vi esta linha: 

Loaded driver \SystemRoot\System32\Drivers\a6n163gl.SYS
  1. Como posso remover isso?
  2. Como posso descobrir o que isso faz?
  3. Como posso saber quando foi colocado?
  4. Como posso descobrir quem escreveu isso?

Aqui está o meu log de inicialização completo: 

    Service Pack 3 10 31 2012 17:35:36.500
Loaded driver \WINDOWS\system32\ntoskrnl.exe
Loaded driver \WINDOWS\system32\hal.dll
Loaded driver \WINDOWS\system32\KDCOM.DLL
Loaded driver \WINDOWS\system32\BOOTVID.dll
Loaded driver sptd.sys
Loaded driver ACPI.sys
Loaded driver \WINDOWS\system32\DRIVERS\WMILIB.SYS
Loaded driver pci.sys
Loaded driver isapnp.sys
Loaded driver pciide.sys
Loaded driver \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
Loaded driver MountMgr.sys
Loaded driver ftdisk.sys
Loaded driver PartMgr.sys
Loaded driver VolSnap.sys
Loaded driver atapi.sys
Loaded driver disk.sys
Loaded driver \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Loaded driver fltmgr.sys
Loaded driver sr.sys
Loaded driver MpFilter.sys
Loaded driver KSecDD.sys
Loaded driver WudfPf.sys
Loaded driver Ntfs.sys
Loaded driver NDIS.sys
Loaded driver uagp35.sys
Loaded driver Mup.sys
Loaded driver \SystemRoot\system32\DRIVERS\amdk7.sys
Loaded driver \SystemRoot\system32\DRIVERS\sisgrp.sys
Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys
Loaded driver \SystemRoot\system32\DRIVERS\mouclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\imapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\cdrom.sys
Loaded driver \SystemRoot\system32\DRIVERS\redbook.sys
Loaded driver \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
Loaded driver \SystemRoot\system32\drivers\cmuda.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbohci.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbehci.sys
Loaded driver \SystemRoot\system32\DRIVERS\sisnicxp.sys
Loaded driver \SystemRoot\System32\Drivers\avzk9sf5.SYS
Loaded driver \SystemRoot\system32\DRIVERS\fdc.sys
Loaded driver \SystemRoot\system32\DRIVERS\serial.sys
Loaded driver \SystemRoot\system32\DRIVERS\serenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\parport.sys
Loaded driver \SystemRoot\system32\DRIVERS\gameenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\serscan.sys
Loaded driver \SystemRoot\system32\drivers\DrmCAudio.sys
Loaded driver \SystemRoot\system32\DRIVERS\audstub.sys
Loaded driver \SystemRoot\system32\DRIVERS\rasl2tp.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndistapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndiswan.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspppoe.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspptp.sys
Loaded driver \SystemRoot\system32\DRIVERS\msgpc.sys
Loaded driver \SystemRoot\system32\DRIVERS\psched.sys
Loaded driver \SystemRoot\system32\DRIVERS\ptilink.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspti.sys
Loaded driver \SystemRoot\system32\DRIVERS\tap0901.sys
Loaded driver \SystemRoot\system32\DRIVERS\termdd.sys
Loaded driver \SystemRoot\system32\DRIVERS\swenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\update.sys
Loaded driver \SystemRoot\system32\DRIVERS\mssmbios.sys
Loaded driver \SystemRoot\system32\DRIVERS\dtsoftbus01.sys
Loaded driver \SystemRoot\System32\Drivers\NDProxy.SYS
Did not load driver \SystemRoot\System32\Drivers\NDProxy.SYS
Loaded driver \SystemRoot\system32\DRIVERS\usbhub.sys
Loaded driver \SystemRoot\system32\DRIVERS\flpydisk.sys
Did not load driver \SystemRoot\System32\Drivers\lbrtfdc.SYS
Did not load driver \SystemRoot\System32\Drivers\Sfloppy.SYS
Did not load driver \SystemRoot\System32\Drivers\i2omgmt.SYS
Did not load driver \SystemRoot\System32\Drivers\Changer.SYS
Did not load driver \SystemRoot\System32\Drivers\Cdaudio.SYS
Loaded driver \SystemRoot\System32\Drivers\Fs_Rec.SYS
Loaded driver \SystemRoot\System32\Drivers\Null.SYS
Loaded driver \SystemRoot\System32\Drivers\Beep.SYS
Loaded driver \SystemRoot\System32\drivers\vga.sys
Loaded driver \SystemRoot\System32\Drivers\mnmdd.SYS
Loaded driver \SystemRoot\System32\DRIVERS\RDPCDD.sys
Loaded driver \SystemRoot\System32\Drivers\Msfs.SYS
Loaded driver \SystemRoot\System32\Drivers\Npfs.SYS
Loaded driver \SystemRoot\system32\DRIVERS\rasacd.sys
Loaded driver \SystemRoot\system32\DRIVERS\ipsec.sys
Loaded driver \SystemRoot\system32\DRIVERS\tcpip.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbt.sys
Loaded driver \SystemRoot\System32\drivers\afd.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbios.sys
Did not load driver \SystemRoot\System32\Drivers\PCIDump.SYS
Loaded driver \SystemRoot\system32\DRIVERS\srvkp.sys
Loaded driver \SystemRoot\system32\DRIVERS\rdbss.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver 
Loaded driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\system32\DRIVERS\wanarp.sys
Loaded driver \SystemRoot\System32\Drivers\Fips.SYS
Loaded driver \SystemRoot\system32\DRIVERS\ctxusbm.sys
Loaded driver \??\C:\WINDOWS\system32\drivers\cbfs3.sys
Loaded driver \SystemRoot\System32\Drivers\Fastfat.SYS
Loaded driver \SystemRoot\System32\Drivers\Cdfs.SYS
Did not load driver \SystemRoot\system32\DRIVERS\rdbss.sys
Did not load driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver \SystemRoot\system32\drivers\wdmaud.sys
Loaded driver \SystemRoot\system32\drivers\sysaudio.sys
Loaded driver \SystemRoot\system32\drivers\splitter.sys
Loaded driver \SystemRoot\system32\drivers\aec.sys
Loaded driver \SystemRoot\system32\drivers\swmidi.sys
Loaded driver \SystemRoot\system32\drivers\DMusic.sys
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Loaded driver \SystemRoot\system32\drivers\drmkaud.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxdav.sys
Loaded driver \SystemRoot\System32\Drivers\ParVdm.SYS
Did not load driver \SystemRoot\System32\Drivers\StarOpen.SYS
Loaded driver \SystemRoot\system32\DRIVERS\srv.sys
Did not load driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\System32\Drivers\HTTP.sys
    
por Chloe 01.11.2012 / 00:01

2 respostas

2

É uma dor séria na parte traseira para fazer. Existem ferramentas especificamente projetadas para detectar rootkits - gmer e revelador do kit de raiz vêm à mente. Os arquivos que você está vendo obviamente não são rootkit - eles podem ser gerados por outro arquivo realmente oculto. Estes detectariam o rootkit, usado corretamente. Removê-los, porém, é difícil e essas ferramentas precisam de algum conhecimento para usar.

Em primeiro lugar, o seu sistema está comprometido. Provavelmente não há razão real para não desarmar e pavimentá-lo. No entanto, vamos assumir hipoteticamente que você queria investigar o que é isso. Os rootkits se conectam ao próprio sistema operacional para se esconderem. Além das ferramentas mencionadas anteriormente, você pode usar um programa de resgate de vírus para verificar o sistema - sweepe do sistema da Microsoft r vem à mente, mas há outros.

Sugiro então ir com um linux livecd e copiar todos os arquivos que você se importar em perder, então inicializar de volta no Windows. Faça um antivírus novamente para ver o que acontece.

Então, é claro, a reinstalação é a escolha inteligente aqui.

    
por 01.11.2012 / 03:33
2

OK, meta principal:

How can I remove this?

A única maneira garantida é Nuke a partir de órbita . Reformate e reinstale.

As maneiras mais sutis de removê-lo, mas a menos que você saiba exatamente com o que está lidando, não pode ter certeza. O que significa que você nunca deve usar esse PC para serviços bancários. Não há mais compras on-line com números de cartão de crédito, etc.

A menos que você tenha um bom backup, é uma coisa muito chata. Mas é a única maneira de estar seguro.

Eu sugiro fazer uma cópia do disco rígido primeiro. Você pode fazer isso de várias maneiras. Por exemplo. uma ferramenta de imagem como Acronis , Ghost , Clonezilla . O que lhe permitirá retornar ao estado em que você está agora. Uma cópia simples para uma unidade externa é mais fácil, mas não presuma que copiar tudo de volta irá restaurar a instalação antiga do Windows (especialmente se o disco externo estiver formatado com FAT32). Uma boa terceira opção é fazer um VMDK (disco VMware) ou um VHD do disco (Ferramentas para isso aqui no technet e aqui para VMware ).

Em seguida, limpe completamente. Reinstale a partir de uma imagem limpa. Não tente restaurar nenhum arquivo ainda . Instale os drivers de rede, se necessário. Em seguida, atualize as janelas completamente.

Agora seria um bom momento para fazer outra imagem do sistema. Espero que você nunca tenha que fazer isso de novo, mas se você fizer isso, você economizará muito tempo.

Instale os drivers. Faça o download de uma fonte segura conhecida. Instalar e atualizar antivírus.

Agora, temos um sistema seguro e você pode começar a analisar os backups realizados no começo. Execute uma verificação de vírus deles. Se ele for identificado, ele pode dar a resposta que você está procurando.

Se não, configure uma máquina virtual (sem rede). Restaure a imagem do sistema para isso. Em seguida, instale as ferramentas de depuração, como o explorador de processos , Rootkitrevealer e GMER .

Agora você está pronto para responder sua segunda pergunta.

How can I find out when it was put in?

Se é spyware, trojan, vírus ou de outra forma 'mal': você não pode confiar no sistema infectado. Você precisará verificar o sistema infectado com um backup anterior. A menos que você tenha muitos backups regulares, isso provavelmente não será bem-sucedido.

Se for apenas um software "normal", pode haver datas nos arquivos de log e nos próprios arquivos.

How can I find out who wrote it?

Se é um vírus ou similar: você não pode. Se for software legalmente escrito, pertence a um programa ou driver. Aqueles devem vir com informações. Infelizmente, um driver é escrito por fill in your name here .

    
por 01.11.2012 / 03:01

Tags

Como criar uma imagem em miniatura de um vídeo .flv usando o ffmpeg? SFP Expansion Slots - Terminologia incorreta ou Mau entendimento?